從棱鏡計(jì)劃到維基解密、勒索軟件事件，再到2020年底的SolarWinds事件，網(wǎng)絡(luò)空間重磅事件近年來層出不窮。尤其是SolarWinds 事件，爆發(fā)之迅猛，波及面之大，社會影響之深，潛在威脅之嚴(yán)重，令世界為之震驚，堪稱過去近十年來最重大的網(wǎng)絡(luò)安全事件。其背后隱現(xiàn)了俄羅斯情報(bào)機(jī)構(gòu)這樣國家機(jī)構(gòu)的“影子”，被黑客植入木馬的SolarWinds Orion軟件被國家行為體利用后所造成的危害，已大大突破了當(dāng)今頂級安全公司及政府機(jī)構(gòu)所具有的防御能力。更重要的是，這起重大事件揭開了軟件供應(yīng)鏈存在的問題及隱患，折射出軟件供應(yīng)鏈攻擊難發(fā)現(xiàn)、難溯源、難清除、低成本、高效率的特點(diǎn)；同時也真實(shí)反映了網(wǎng)絡(luò)空間技術(shù)和力量較量無處不在，美國或?qū)⒄{(diào)整其網(wǎng)空防御與進(jìn)攻舉措，全球網(wǎng)絡(luò)空間攻防態(tài)勢或面臨重塑，大國間的地緣政治博弈也將加劇。

　　一

　　“SolarWinds”事件基本情況

　　2020年12月8日，美國頂級安全公司火眼（FireEye）爆出，黑客通過木馬化的SolarWinds Orion軟件入侵了公司網(wǎng)絡(luò)。12月14日，美國聯(lián)邦調(diào)查局（FBI）、國家情報(bào)局局長辦公室（ODNI）與美國國土安全部網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）聯(lián)合發(fā)布聲明，首次正式確認(rèn)被黑客植入木馬的SolarWinds造成多個美國聯(lián)邦政府機(jī)構(gòu)的網(wǎng)絡(luò)遭受入侵。黑客對文件的源碼進(jìn)行篡改添加了后門代碼，該文件具有合法數(shù)字簽名伴隨軟件更新下發(fā)。通過該渠道，高級持續(xù)攻擊（APT）黑客組織可直接攻擊目標(biāo)機(jī)構(gòu)的網(wǎng)絡(luò)管理員，獲得網(wǎng)絡(luò)設(shè)備賬號及管理權(quán)限、IT基礎(chǔ)設(shè)施及管理權(quán)限，以及業(yè)務(wù)系統(tǒng)與數(shù)據(jù)庫的最高權(quán)限，從而可暢通無阻地訪問內(nèi)部網(wǎng)絡(luò)，具備長期的匿名網(wǎng)絡(luò)接入能力，以及越過內(nèi)部安全等級防護(hù)的權(quán)限，從而達(dá)到長期控制目標(biāo)、竊取核心數(shù)據(jù)的目的。

　　事態(tài)仍在不斷發(fā)酵，截止12月16日，已確認(rèn)受害的重要機(jī)構(gòu)至少200家，波及北美、歐洲等全球重要科技發(fā)達(dá)地區(qū)的敏感機(jī)構(gòu)，其中美國占比超過60%。綜合多家媒體報(bào)道顯示，受此事件影響的美國政府機(jī)構(gòu)包括美國國務(wù)院、國防部、財(cái)政部、國土安全部、能源部國家核安全局、美國國家電信和信息管理局、美國國立衛(wèi)生研究院等。針對該事件的風(fēng)險(xiǎn)，CISA以“超出了容忍極限”的罕見字眼在官方通報(bào)中予以通告，并發(fā)布緊急指令21-01，呼吁所有聯(lián)邦運(yùn)行SolarWinds產(chǎn)品的機(jī)構(gòu)立即斷開或關(guān)閉SolarWinds Orion的電源。

　　為盡快全面調(diào)查該事件，12月14日美國成立了由FBI、CISA和ODNI組成的網(wǎng)絡(luò)統(tǒng)一協(xié)調(diào)小組（UCG），并由美國家安全局（NSA）協(xié)助和采取補(bǔ)救措施。調(diào)查目前集中在四個關(guān)鍵方面：確定受害者，收集證據(jù)，分析證據(jù)以確定進(jìn)一步的歸因，并與政府和私營部門合作伙伴共享結(jié)果以告知行動。隨著調(diào)查的不斷深入，UCG發(fā)現(xiàn)多達(dá)250個組織繼續(xù)遭受了第二階段攻擊，攻擊者投擲了名為Teardrop的惡意軟件，可竊取數(shù)據(jù)，安裝其他惡意軟件和后門程序，并幫助黑客到達(dá)其他系統(tǒng)。據(jù)美國司法部披露，黑客已向其內(nèi)部郵件系統(tǒng)滲透，受影響人數(shù)多達(dá)司法部員工郵件賬戶總數(shù)的三分之一，其第二階段重大受害機(jī)構(gòu)之一。大多數(shù)運(yùn)行后門軟件的Orion客戶（可能多達(dá)18,000個組織）有可能只進(jìn)入第一階段，后續(xù)攻擊階段的高價(jià)值目標(biāo)仍有待進(jìn)一步調(diào)查。

　　因此，可以判斷，此次軟件供應(yīng)鏈攻擊具有極大的戰(zhàn)略意圖，意在長期控制某些重要目標(biāo)，或旨在獲取足以長期活動的憑據(jù)。目前，事件仍在持續(xù)發(fā)酵，未來如何發(fā)展仍有待觀察。

　　二

　　“SolarWinds”事件特點(diǎn)分析

　?。ㄒ唬O高的技術(shù)水平和隱蔽性

　　隱蔽處于絕對首位是其攻擊思想，在入口選擇上，攻擊者選擇源代碼階段，且選擇代碼倉庫為發(fā)起感染的位置，并選擇非常深層次的調(diào)用堆棧，以降低代碼重構(gòu)期被發(fā)現(xiàn)的可能性，甚至有研究機(jī)構(gòu)發(fā)現(xiàn)此后門實(shí)質(zhì)上僅僅是一個高隱蔽性探針，后續(xù)攻擊一定會更換后滲透的攻擊套件進(jìn)行下一階段行動。其設(shè)計(jì)思路隱蔽巧妙，顯示出了非常老練的后門功底。在上線選擇上，寧可放棄大量的上線機(jī)會也不愿在某個非安全環(huán)境上線，謹(jǐn)小慎微的做法和常規(guī)行動者情況完全相反。在編碼上，高度仿照了SolarWinds的編碼方式與命名規(guī)范和類名等，非常工整，其高超的代碼仿冒能力成功繞過了SolarWinds公司復(fù)雜的測試、交叉審核、校驗(yàn)等多個環(huán)節(jié)，在技術(shù)和思維上已大大超過常規(guī)行動體。因此，不難理解為何火眼作為頂級安全公司，在網(wǎng)絡(luò)威脅檢測、郵件威脅檢測、終端威脅檢測等領(lǐng)域具備世界一流水平，但是攻擊者能夠利用前所未有、令人耳目一新的技術(shù)組合以及多種應(yīng)對安全工具和取證檢查的方法，滲透進(jìn)入火眼公司內(nèi)網(wǎng)，盜取其紅隊(duì)測試工具網(wǎng)絡(luò)武器庫。致使火眼首席執(zhí)行官凱文？曼迪亞對此次事件所展示的攻擊能力甚至用火眼25年所遭遇的頂級攻擊來形容。

　?。ǘO強(qiáng)的耐心和高精準(zhǔn)性

　　黑客早在2019年10月已控制了代碼倉庫，由此逆推SolarWinds公司被控制的時間可能在2019年初甚至更早。此階段據(jù)推測意在驗(yàn)證攻擊手法是否能成功，并據(jù)此推斷后續(xù)行動所需時間。2020年3月引入了第一個惡意SolarWinds Orion版本，隨后進(jìn)入行動籌備和實(shí)施階段，但時隔9個月后才被發(fā)現(xiàn)。也就是說，攻擊者在2019年10月進(jìn)行“預(yù)演”來進(jìn)行技術(shù)測試，然后在2020年3月開始實(shí)際攻擊。這些數(shù)據(jù)一方面再次印證了其高隱蔽性，同時也揭示了攻擊組織花費(fèi)長時間用以收集被感染目標(biāo)相關(guān)信息，根據(jù)回傳信息進(jìn)行目標(biāo)精準(zhǔn)辨識，再根據(jù)既定作戰(zhàn)任務(wù)進(jìn)行目標(biāo)篩選、研判并做出具體指令，是終止、等待或是持續(xù)滲透。潛伏時間之長，充分說明了攻擊者意在精準(zhǔn)篩選，僅對特定目標(biāo)實(shí)施后續(xù)攻擊，體現(xiàn)其攻擊的高精度性。正如微軟總裁布拉德·史密斯所表示的：“這是一次非常復(fù)雜、非常有耐心、堅(jiān)持不懈的攻擊?！盨olarWinds在其安全警報(bào)中明確指出：這種攻擊是一種極有針對性的、手動執(zhí)行的攻擊，而不是廣泛的、系統(tǒng)范圍的攻擊。據(jù)最新調(diào)查發(fā)現(xiàn)，黑客已使用名為Teardrop的第二階段惡意軟件控制本地網(wǎng)絡(luò)，再以此為支點(diǎn)入侵受害目標(biāo)，收集大量第一手情報(bào)。因此，此類攻擊通常會從破壞最小到危害最大的多個階段展開，最終實(shí)現(xiàn)最有價(jià)值目標(biāo)的徹底突破，竊取大量數(shù)據(jù)。

　?。ㄈ╇y度極大的細(xì)節(jié)挖掘和清除工作

　　隨著SolarWinds事件更多信息的浮出水面，美國CISA調(diào)查發(fā)現(xiàn)此次黑客攻擊行動很有可能利用了其他戰(zhàn)術(shù)、技術(shù)和程序（TTP），攻擊者不僅限于將后門偷偷潛入代碼中，而且能夠與被感染系統(tǒng)進(jìn)行通信而不會被發(fā)現(xiàn)。攻擊者可以完全不受限制地訪問SolarWinds軟件和分發(fā)機(jī)制。這些策略、技術(shù)和程序尚未被發(fā)現(xiàn)，很難從受感染網(wǎng)絡(luò)中刪除，不但高度復(fù)雜而且極有挑戰(zhàn)性。美CISA新負(fù)責(zé)人布蘭登？威爾斯稱“該事件是CISA在網(wǎng)絡(luò)領(lǐng)域面臨的最復(fù)雜和最具挑戰(zhàn)性的活動之一?！睋?jù)CISA最新調(diào)查發(fā)現(xiàn)，黑客無需SolarWinds即可闖入網(wǎng)絡(luò)，正在利用SolarWinds Orion漏洞之外的方法破壞聯(lián)邦網(wǎng)絡(luò)。CISA發(fā)現(xiàn)黑客可能已經(jīng)使用密碼猜測和密碼噴射技術(shù)來獲取其他管理權(quán)限，可偽造身份驗(yàn)證令牌，獲得對其他云資源和環(huán)境的訪問權(quán)限。

　　因此，此次經(jīng)過精心策劃的、復(fù)雜的大規(guī)模軟件供應(yīng)鏈入侵不但調(diào)查取證歷時比較久，而且揭露攻擊活動的全部細(xì)節(jié)及清除工作是一項(xiàng)艱巨的任務(wù)。到目前為止，還沒有全面了解該攻擊可能造成的損害以及它是否仍然存在。

　?。ㄋ模﹪冶尘昂诳徒M織幕后所為

　　通過分析該事件的各種蛛絲馬跡，可以發(fā)現(xiàn)至少經(jīng)過專業(yè)黑客組織兩年的踩點(diǎn)與滲透，由基礎(chǔ)建設(shè)團(tuán)隊(duì)提供鏈路與武器，由分析團(tuán)隊(duì)進(jìn)行目標(biāo)確認(rèn)，由后滲透團(tuán)隊(duì)實(shí)行深入控制，通過供應(yīng)鏈打擊的實(shí)質(zhì)形式，有組織、有目的、成建制的進(jìn)行網(wǎng)絡(luò)攻擊。此外，能將非常復(fù)雜的定制化后門作為一次性探針使用，這么高的開發(fā)和攻擊成本對于小團(tuán)隊(duì)是完全不現(xiàn)實(shí)的。并且通過IP這種難以精確控制的資源作為控制載體也能體現(xiàn)出攻擊者本身維護(hù)了一個龐大的基礎(chǔ)設(shè)施網(wǎng)絡(luò)資源庫，同時也體現(xiàn)出較為雄厚的經(jīng)濟(jì)實(shí)力。因此，從攻擊者的行為和使用的技術(shù)，以及足夠的基礎(chǔ)設(shè)施支撐來看，其攻擊水平與技術(shù)成熟度無疑是國家背景的黑客組織。2021年1月，白宮網(wǎng)絡(luò)統(tǒng)一協(xié)調(diào)小組（UCG）也首次明確披露俄羅斯情報(bào)部門是此次事件的幕后黑手，并為此付出了極高的成本。

　　三

　　軟件供應(yīng)鏈已成為黑客攻擊的重要突破口

　　由上述對該事件的深度解析可以清晰看出，軟件供應(yīng)鏈攻擊作為一種新型威脅，具有威脅對象多、極端隱蔽、檢測難度大、涉及維度廣等特點(diǎn)，已成為國家級攻擊行為的重要選項(xiàng)，在未來一段時間內(nèi)軟件供應(yīng)鏈攻擊將是最難防范的威脅之一，而且攻擊數(shù)量還會增加。那么，為何軟件供應(yīng)鏈悄然成為了黑客實(shí)施攻擊的最佳切入點(diǎn)，原因分析如下：

　?。ㄒ唬┸浖?yīng)鏈攻擊造成的影響深遠(yuǎn)

　　軟件供應(yīng)鏈攻擊具有極大的傳播性，如在上游開發(fā)環(huán)節(jié)發(fā)生的攻擊，一旦成功，便會波及整個軟件供應(yīng)鏈的中下游，對大量的軟件供應(yīng)商和最終用戶，包括政府機(jī)構(gòu)、組織、企業(yè)等帶來巨大風(fēng)險(xiǎn)和損失。尤其是當(dāng)上升為國家行為后，國家級攻擊組織利用軟件供應(yīng)鏈攻擊可取得極大攻擊效果。例如，2012年的震網(wǎng)病毒對伊朗核設(shè)施的破壞。2017年NotPetya攻擊和Equifax數(shù)據(jù)泄露影響了數(shù)百萬用戶。同年，勒索軟件變種Petya攻擊烏克蘭，使得烏克蘭首都機(jī)場、國家儲蓄銀行遭遇重大損失。而此次爆發(fā)的SolarWinds事件直接將國家級網(wǎng)絡(luò)攻擊的關(guān)注推至新高，無論從規(guī)模、影響力和潛在威脅性來看，都堪稱過去十年最重大的網(wǎng)絡(luò)安全事件。這些事件一方面展示了軟件供應(yīng)鏈攻擊可危害敵對國的大型機(jī)構(gòu)、基礎(chǔ)設(shè)施以及大型企業(yè)；另一方面也展示了軟件供應(yīng)鏈攻擊的巨大潛在規(guī)模，及其對國家級攻擊者的戰(zhàn)略價(jià)值。因此，軟件供應(yīng)鏈攻擊近年來備受黑客青睞。

　?。ǘ┸浖?yīng)鏈的攻擊面多

　　軟件供應(yīng)鏈?zhǔn)且粋€通過一級或多級軟件設(shè)計(jì)、開發(fā)階段編寫軟件， 并通過軟件交付渠道將軟件從軟件供應(yīng)商送往軟件用戶的系統(tǒng)。從軟件生命周期的視角可以將軟件供應(yīng)鏈簡單抽象為軟件設(shè)計(jì)、代碼編寫到生成軟件的開發(fā)環(huán)節(jié)，軟件分發(fā)和用戶下載的交付環(huán)節(jié)，直至交付到用戶的使用環(huán)節(jié)，三大環(huán)節(jié)環(huán)環(huán)相扣構(gòu)成其鏈狀結(jié)構(gòu)。這種鏈狀結(jié)構(gòu)中每個環(huán)節(jié)都面臨著安全風(fēng)險(xiǎn)，致使攻擊面多，易暴露脆弱性。同時，相比于傳統(tǒng)的針對軟件漏洞的攻擊，軟件供應(yīng)鏈攻擊從軟件本身擴(kuò)展為軟件以及內(nèi)部的所有代碼、模塊和服務(wù)，以及與這些模塊相關(guān)的供應(yīng)鏈上游供應(yīng)商的編碼過程、開發(fā)工具和設(shè)備，不但大大增加了攻擊途徑，而且還顯著降低了攻擊難度。

　?。ㄈ┸浖?yīng)鏈的攻擊手法多樣

　　軟件供應(yīng)鏈攻擊呈現(xiàn)多樣化特點(diǎn)，從近年來發(fā)生的多起典型軟件供應(yīng)鏈攻擊事件可見一斑，例如，2015年的XcodeGhost開發(fā)工具污染事件，2017年的CCleaner惡意代碼植入事件，以及WireX Android 僵尸網(wǎng)絡(luò)和NotPetya 勒索病毒事件，采用了不同攻擊手段。軟件供應(yīng)鏈的鏈狀結(jié)構(gòu)特點(diǎn)使其每個環(huán)節(jié)面臨不同的安全風(fēng)險(xiǎn)，自然衍生出不同的攻擊手法，例如，針對開發(fā)環(huán)節(jié)的源代碼和開發(fā)工具污染，針對交付環(huán)節(jié)的下載網(wǎng)站和軟件更新網(wǎng)站攻擊，針對使用環(huán)節(jié)的升級更新劫持等。攻擊者針對各環(huán)節(jié)的不同脆弱點(diǎn)實(shí)施不同攻擊，再依賴供應(yīng)鏈上的信任關(guān)系以逃避傳統(tǒng)安全產(chǎn)品的檢查，沿著供應(yīng)鏈向后滲透，從而實(shí)施對目標(biāo)網(wǎng)絡(luò)的滲透及非法攻擊。此次SolarWind事件一經(jīng)報(bào)道后，國內(nèi)外多家研究機(jī)構(gòu)和智庫即從不同角度進(jìn)行分析，其中阿里云安全通過分析歷史曾經(jīng)發(fā)生過的126起供應(yīng)鏈攻擊事件，將相關(guān)攻擊手段總結(jié)為15種，包括黑灰產(chǎn)模式推廣惡意軟件，入侵官方網(wǎng)站替換下載鏈接，劫持正式更新下載地址的域名，入侵官方更新升級系統(tǒng)，入侵軟、硬件開發(fā)公司，向目標(biāo)項(xiàng)目的源碼植入惡意代碼，開發(fā)工具污染篡改源碼，植入后門，應(yīng)用運(yùn)行環(huán)境、應(yīng)用組件環(huán)境被植入后門，等等。

　　四

　　事件背后的原因分析

　?。ㄒ唬┟谰W(wǎng)絡(luò)防御能力建設(shè)相對滯后被充分暴露和放大

　　隱藏在該事件背后的一個根本原因?qū)嶋H上是美國長期以來推進(jìn)的進(jìn)攻性網(wǎng)絡(luò)安全戰(zhàn)略，從奧巴馬到特朗普政府時期均延續(xù)著這一戰(zhàn)略思想，強(qiáng)調(diào)“主動攻擊”，追求強(qiáng)大的進(jìn)攻能力和網(wǎng)絡(luò)威懾能力，不斷加大美軍進(jìn)攻性網(wǎng)絡(luò)空間作戰(zhàn)力度。高估通過進(jìn)攻性戰(zhàn)略獲得的安全利益，嚴(yán)重低估了網(wǎng)絡(luò)防御的重要性。路透社曾援引美國聯(lián)邦政府公布的數(shù)據(jù)以及情報(bào)部門官員的話報(bào)道稱，美國90％的網(wǎng)絡(luò)項(xiàng)目開支用于研發(fā)黑客攻擊武器，各種攻擊武器可侵入敵方電腦系統(tǒng)、通訊竊聽、使基礎(chǔ)設(shè)施癱瘓或受阻。在網(wǎng)絡(luò)資源布局方面將較多的資源用于攻擊而非防御，此次SolarWind事件也充分暴露了美網(wǎng)絡(luò)防御能力建設(shè)相對滯后乃至不足，其缺陷被充分暴露和放大。因此，該事件為美國家網(wǎng)絡(luò)安全防御能力的建設(shè)，以及全球范圍防控網(wǎng)絡(luò)空間進(jìn)攻性代碼和能力擴(kuò)散等問題敲響了警鐘，亟需在國家網(wǎng)絡(luò)安全戰(zhàn)略能力體系建設(shè)和全球網(wǎng)絡(luò)空間安全規(guī)范構(gòu)建中得到充分重視。

　?。ǘ┽槍浖?yīng)鏈攻擊的研究還不成熟

　　雖然軟件供應(yīng)鏈攻擊事件時有發(fā)生，但是2017年“針對軟件供應(yīng)鏈的網(wǎng)絡(luò)攻擊”概念才首次由微軟提出。作為一種新的安全問題，目前還缺乏權(quán)威而準(zhǔn)確的定義。相比于針對目標(biāo)計(jì)算機(jī)系統(tǒng)的漏洞安全研究，針對軟件供應(yīng)鏈安全的研究目前整體還處于提出問題或分析問題的起步階段，還沒有到解決問題的關(guān)鍵階段，一定程度上還缺少直接的有針對性且有價(jià)值的研究成果。因此，面對數(shù)量繁多、涉及領(lǐng)域廣泛、與用戶信息接觸最為直接的各類軟件產(chǎn)品，目前尚未形成一套防御理論完備、技術(shù)手段長久有效的軟件供應(yīng)鏈防護(hù)體系，直接導(dǎo)致應(yīng)對措施和機(jī)制缺失、檢測和溯源技術(shù)水平等跟不上。未來在進(jìn)一步加強(qiáng)軟件供應(yīng)鏈攻擊風(fēng)險(xiǎn)防范意識的同時，還需要在軟件安全質(zhì)量的檢測與控制，軟件供應(yīng)鏈各類渠道的安全防范，供應(yīng)鏈攻擊的防護(hù)、檢測和響應(yīng)，軟件供應(yīng)鏈的風(fēng)險(xiǎn)管理流程等方面進(jìn)一步深入研究。

　?。ㄈ┍Ｕ宪浖?yīng)鏈安全的難度比較大

　　其難度首先體現(xiàn)在當(dāng)開源軟件的數(shù)量呈指數(shù)級增長時所帶來的安全問題不容忽視。當(dāng)前新增開源代碼數(shù)量巨大，直接導(dǎo)致軟件庫之間的引用關(guān)系非常復(fù)雜，只要其中一個環(huán)節(jié)出現(xiàn)了問題，就會導(dǎo)致所有使用該軟件庫的下游軟件均存在該漏洞。更重要的是，對于開發(fā)過程中引入開源軟件的執(zhí)行細(xì)節(jié)與其中潛在的風(fēng)險(xiǎn)，大多數(shù)開發(fā)者都無從獲知。其次，攻守完全不平衡。對攻擊者而言，只需找到軟件供應(yīng)鏈的一個突破口便可入侵并造成危害，而開發(fā)者則需要對整個軟件供應(yīng)鏈進(jìn)行完備的安全防護(hù)，對漏洞挖掘、安全防范提出了更高要求。即便企業(yè)安全意識足夠高，從漏洞公布，發(fā)現(xiàn)安全隱患設(shè)計(jì)補(bǔ)丁，最終測試并發(fā)布安全的新版本，仍然需要一定的周期，而攻擊者根據(jù)漏洞生成攻擊向量的速度可能更快。第三，軟件供應(yīng)鏈攻擊的隱蔽性非常強(qiáng)。軟件供應(yīng)鏈攻擊作為一種新型攻擊手段，能夠繞開傳統(tǒng)安全產(chǎn)品的防護(hù)，通過侵入合法軟件并篡改數(shù)據(jù)的方式進(jìn)行偽裝，實(shí)現(xiàn)大范圍的傳播及攻擊，造成巨大損失。

　　五

　　“SolarWinds”事件后美在供應(yīng)鏈安全方面的后續(xù)動作

　　該事件自爆發(fā)后，美對其進(jìn)一步深入分析、細(xì)節(jié)挖掘及調(diào)查研究從未停息，拜登政府也對其給予高度重視。從幾大重要網(wǎng)站相關(guān)新聞報(bào)道的一些線索可以預(yù)測美未來在供應(yīng)鏈安全方面將可能采取的一些相應(yīng)措施。

　?。?）白宮將出臺軟件安全行政指令。隨著SolarWinds違規(guī)事件的持續(xù)發(fā)展，白宮正在執(zhí)行一項(xiàng)行政命令，將專注于建立軟件標(biāo)準(zhǔn)，尤其是用于關(guān)鍵領(lǐng)域的軟件，以鼓勵軟件開發(fā)人員在其產(chǎn)品中增強(qiáng)安全性。針對該事件，未來拜登政府的應(yīng)對方式將可能很大程度影響白宮未來網(wǎng)絡(luò)安全政策，新政府是否會有重大的架構(gòu)變化還將拭目以待。

　?。?）美CISA將著眼于改變以應(yīng)對未來的供應(yīng)鏈黑客，美政府將加大CISA的投資及授權(quán)，并增強(qiáng)CISA等機(jī)構(gòu)在整個聯(lián)邦網(wǎng)絡(luò)中進(jìn)行更廣泛的威脅搜尋能力。目前CISA正在探索內(nèi)部監(jiān)控“異常活動”的方法，例如通過加密通道與網(wǎng)絡(luò)外部實(shí)體進(jìn)行通信的網(wǎng)絡(luò)管理系統(tǒng)，此外，CISA將被賦予更大的權(quán)力進(jìn)行威脅監(jiān)管，以及更多的職權(quán)如對科技企業(yè)的整體知情權(quán)，以有效地防御和快速反應(yīng)。

　?。?）創(chuàng)建并實(shí)施現(xiàn)代的供應(yīng)鏈安全。2021年2月，軟件聯(lián)盟發(fā)布了《構(gòu)建更有效的ICT供應(yīng)鏈安全》白皮書，呼吁將美國的供應(yīng)鏈安全政策轉(zhuǎn)變?yōu)榛诒Ｕ系姆椒?，聚焦?zhàn)略重點(diǎn)，在政府機(jī)構(gòu)間展開協(xié)調(diào)。軟件聯(lián)盟認(rèn)為，近年來的供應(yīng)鏈安全政策偏于被動并過于寬泛，最終無法（實(shí)現(xiàn)）促進(jìn)安全，并會阻礙經(jīng)濟(jì)增長。白皮書呼吁美國政府專注于保障工作，加強(qiáng)美國領(lǐng)導(dǎo)力，激發(fā)公私合作關(guān)系，并對現(xiàn)行政策進(jìn)行調(diào)整，以降低供應(yīng)鏈風(fēng)險(xiǎn)，推動全球ICT供應(yīng)鏈的信任和安全。

　　六

　　結(jié)  語

　　SolarWinds供應(yīng)鏈黑客攻擊事件對全球各國供應(yīng)鏈和關(guān)鍵基礎(chǔ)設(shè)施安全防御體系而言都富有極大的沖擊性，暴露了包括美國在內(nèi)的全球各國網(wǎng)絡(luò)安全策略的軟肋。大量傳統(tǒng)網(wǎng)絡(luò)安全工具、措施和策略失效，一定程度上顛覆了業(yè)內(nèi)人士對網(wǎng)絡(luò)信息安全防御傳統(tǒng)方法的認(rèn)知?！爸毓ポp守，以攻代守”的美國國家網(wǎng)絡(luò)空間安全戰(zhàn)略遭受嚴(yán)重打擊，全球網(wǎng)絡(luò)安全行業(yè)或?qū)⒚媾R斯諾登事件以來最大的不確定性或變革，對未來美國家安全策略或?qū)砩钸h(yuǎn)影響。

　　此次事件的攻擊者技術(shù)高超、手段老練、有著極強(qiáng)的專業(yè)能力和高度的紀(jì)律性，SolarWinds是否并非其唯一目標(biāo)，還有多少未被發(fā)現(xiàn)的SolarWinds，誰會是下一個被發(fā)現(xiàn)的SolarWinds？在進(jìn)入SolarWinds之后是否已經(jīng)控制了其它更多的供應(yīng)商？攻擊者是否已通過本次攻擊轉(zhuǎn)移了打擊陣地？這些問題，尚未知曉。唯一確定的是，我們看到的遠(yuǎn)遠(yuǎn)少于所有的可能性，攻擊所造成的危害及威脅，可能比我們已知的要嚴(yán)重的多。